Categorie: Advisory

Hoe kies je de juiste SOC 2 principes?

Hoe kies je de juiste SOC 2 principes?

Vaak vraagt men zich af wie er verantwoordelijk is voor het bepalen en selecteren van de principes die worden meegenomen in een SOC 2 onderzoek. Het antwoord op deze vraag is niet altijd wat een serviceorganisatie wil horen. Net zoals bij een SOC 1 krijgt het management altijd de taak om de Trust Services Principles (TSP) te kiezen. Dat komt vaak neer op welke principes passen bij jouw zaak, services en klanten. Helaas bestaat er niet een lijst met regels die in acht moeten worden genomen als deze principes worden gekozen. Hieronder zie je een omschrijving van deze zogenaamde TSP’s:

  • Informatiebeveiliging. Het systeem is beschermd tegen ongeautoriseerd(e) toegang, gebruik of veranderingen in de afspraken of systeemvereisten van het bedrijf.
  • Beschikbaarheid. Het systeem kan gebruikt worden op de afgesproken manier en voldoet aan de systeemvereisten.
  • Integriteit van processen. Het systeemproces is compleet, geldig, accuraat, tijdsgebonden en gemachtigd.
  • Betrouwbaarheid. Informatie die is gemarkeerd als betrouwbaar wordt beschermd en voldoet aan de vereisten van de entiteit.
  • Privacy. Persoonlijke informatie wordt verzameld, bewaard, openbaargemaakt en verwijderd om aan de verplichtingen van de entiteit en systeemvereisten te voldoen.

De scope

Voordat je besluit wat de principes zijn, moet je eerst vaststellen wat de scope van het onderzoek zal. Dit doet men door het identificeren van de verschillende onderdelen die binnen de scope vallen, inclusief derde partijen die dezelfde diensten aanbieden. Dit is een belangrijke stap gezien de organisaties zelf vaak een smallere visie hebben op hun diensten en wat meegenomen moet worden in een SOC 2 systeem. Bovendien moeten organisatie bijzonder voorzichtig hun infrastructuur, software, medewerkers, procedures en data in acht nemen als ze de outline bepalen van een SOC 2 onderzoek. Elke van deze afzonderlijke componenten wordt verder omschreven in SOC 2 literatuur.

Informatiebeveiliging

Nadat het vaststellen van de scope is de volgende stap om te bepalen welke principes van toepassing zijn op het systeem van de serviceorganisatie. Neem bijvoorbeeld het Veiligheidsprincipe. Dit moet worden opgenomen in alle SOC 2 onderzoeken omdat het criteria bevat die betrekkingen hebben op alle andere principes. Deze gemeenschappelijke criteria hebben onder andere betrekking op het waarborgen van de veiligheid van een systeem. Dit gaat over het opmerken en voorkomen van een wijziging, of vernietiging of openbaarmaking van informatie.

Als een klant een redelijke zekerheid wil over de veiligheid van hun data, dan zijn ze waarschijnlijk het meeste geïnteresseerd in het Veiligheidsprincipe. Dit principe is zo breed dat het voor de klant soms kan volstaan om alleen dit principe te onderzoeken om ze een zeker gevoel te geven over de veiligheid van hun data.

Beschikbaarheid

Het tweede meest gekozen principe voor een SOC 2 onderzoek is Beschikbaarheid. Aangezien de meeste serviceorganisaties een uitbestede dienst verstrekken aan hun klant, ligt de beschikbaarheid hiervan vaak contractueel vast doormiddel van zogenaamde Service level Agreements (SLA’s). Hierom is het principe Beschikbaarheid een zeer interessante om mee te nemen in een SOC 2 onderzoek.

Processen

Als de serviceorganisatie transacties voor zijn klanten verstrekt, is een derde interessant principe de Processen. Dit principe draagt bij aan het gevoel van veiligheid dat de gegevens op een complete, geldige, accurate en geautoriseerde manier worden verwerkt. Naast het Veiligheidsprincipe, het Beschikbaarheidsprincipe en de Processen zijn er nog twee principes die meegenomen kunnen worden in een SOC 2 onderzoek.

Betrouwbaarheid en privacy

De laatste twee principes zijn Betrouwbaarheid en Privacy. Regelmatig wordt er over beide gesproken in dezelfde context alhoewel de principes wel degelijk anders van aarde zijn. Daar bovenop zijn diverse organisaties van mening dat deze twee principes van groot belang zijn voor het SOC 2 onderzoek. De principes lijken op elkaar omdat ze beiden betrekking hebben op de informatie die ‘in’ het systeem zit. Het verschil is dat het privacyprincipe alleen betrekking heeft op persoonlijke informatie. Echter kan de term ‘vertrouwelijke informatie’ verschillende betekenissen bij verschillende bedrijven hebben. Neemt de serviceorganisatie vertrouwelijke informatie waar en zijn specifieke afspraken gemaakt over de beveiliging van deze data?

Dan is het betrouwbaarheidsprincipe interessant. Binnen de context van een SOC 2 onderzoek heeft Privacy betrekking op de beveiliging van persoonlijke informatie. Als een serviceorganisatie een verantwoordelijkheid heeft over het bewaren van de ‘levenscyclus’ van persoonlijke informatie, (ook wel PII, Personally identifiable information genoemd) dan is dit principe interessant om mee te nemen in het onderzoek. Met de levenscyclus wordt het verzamelen, gebruiken, verstrekken, bewaren en vernietigen van persoonlijke informatie bedoelt.

Al met al is het kiezen van de goede principes een belangrijk proces. Dit begint met goed op de hoogte zijn over welke principes men het best kan toepassen in een bepaalde situatie. Hiervoor is een goede kennis van de organisatie vereist. Vervolgens is de kennis en ervaring van een ervaren SOC 2 bedrijf van onschatbare waarde. Een gerenommeerde onderneming begeleidt een organisatie bij het kiezen van de juiste principes voor het SOC 2 onderzoek.

ISAE 3402 vs. ISAE 3000 vs. ISO 27001

ISAE 3402 vs. ISAE 3000 vs. ISO 27001

Onder de ISAE 3402, ISAE 3000 en ISO 27001 ontstaat vaak veel verwarring. Welke standaard is het beste vragen veel klanten? En wat zijn de voordelen? Dit verschilt per organisatie en in dit artikel worden de standaarden uitgelegd en voordelen beschreven.

ISAE 3402

De ISAE 3402 standaard is een term voor de rapportage standaarden voor initiële controles voor financiële rapportagedoelstellingen. Dit betekent dat deze standaard de effectiviteit van de systemen controleert om zo ondersteuning van de veiligheid en integriteit van de onderliggende gegevens te zijn. ISAE 3402 is geschikt voor diensten met bedrijfsprocesdoelstellingen die verder gaan dan alleen de kernfocus op technologie en beveiliging.

Voordelen:

  • Internationaal erkend
  • Verbetering risico management
  • Minder audits door accountants
  • ‘In control’ uitstraling naar klanten
  • Ondersteunt bij professionalisering

ISAE 3000

De ISAE 3000 standaard is het raamwerk voor het beheren van en rapporteren over nieuwe technologische risico’s en daarbij ook de controlepraktijken. Dit heeft betrekking op de beveiliging van een organisatie, vertrouwelijkheid van de organisatie, verwerking integriteit en privacy van de klanten. De ISAE 3000 norm probeert het beste van twee werelden te combineren Het is een combinatie van de verhoogde zekerheid van operationele effectiviteit van de ISAE normen en de verfijnde focus op cyberbeveiliging met als voorbeeld de ISO 27001 standaard.

Voordelen:

  • Internationaal erkend
  • Gedegen standaard voor informatiebeveiliging
  • Erkend door accountants
  • Ondersteunt de organisatie bij professionalisering

ISO 27001

Het ontwerpen en implementeren van een ISMS (Information Security Management System) is vastgesteld in de ISO 27001 norm. ISO 27001 kan gebruikt worden om de informatiebeveiliging in te richten. In 2017 is de laatste ISO 27001 norm gepubliceerd. Deze norm is gebaseerd op de HLS structuur. (Zie hier het artikel over HLS structuur)

ISO 27001 wordt wereldwijd erkend en ondersteund als een van de beste normen voor informatiebeveiliging. Het is de feitelijke ‘best practice’-benadering voor het beheren van informatiebeveiliging in een organisatie.

Implementatie van ISO 9001

Implementatie van ISO 9001

De ISO/IEC 9001 standaard is de internationale standaard ten aanzien van kwaliteitsbeheersing. De ISO 9001 standaard is gericht op twee belangrijke aspecten: voldoen aan de vereisten van klanten en het verhogen van klanttevredenheid. Hiervoor zijn binnen de ISO 9001 standaard een aantal specifieke aspecten benoemd die zijn uitgewerkt in vereisten.

Fase 1

Een ISO 9001 implementatie start in de eerste fase met het bepalen van het toepassingsgebied. Deze reikwijdte omvat het kwaliteitsmanagementsysteem gericht op het voldoen aan de vereisten van klanten en het verbeteren van de klanttevredenheid.

Deliverable: scope ISO 9001

Fase 2

In de tweede fase dient de organisatie een algemeen kwaliteitsmanagementbeleid op te stellen. In het algemene deel staat minimaal beschreven wat de kenmerken van de organisatie zijn, wat de kenmerken van de dienstverlening en/of producten van de organisatie zijn en de inputs en de verwachte outputs alsmede benodigde middelen voor processen – verantwoordelijkheden en bevoegdheden.

Ten aanzien van het beleid is opgenomen:

  1. Een beschrijving van het risicoraamwerk Hierbij kan gekozen worden uit verschillende risicoraamwerken zoals COSO 2013 of ISO 31000. Het risicoraamwerk dient beschreven te worden vanuit de beheersing van kwaliteit.
  2. Hoe omgegaan wordt met eventuele wet- en regelgeving, eisen en richtlijnen die vanuit de organisatie zelf worden gesteld aan kwaliteit.
  3. Het beleid dient aantoonbaar aan te sluiten met het huidige risk management raamwerk dat is ingericht (aansluiting met COSO 2013). Tevens dient hierbij opgenomen te worden hoe de organisatie omgaat met de implementatie en beheersing van het kwaliteitsbeheerssysteem en de methodes en beheersing nodig om vast te stellen dat procedures doeltreffend worden uitgevoerd.
  4. Welke processen bepaald zijn voor evaluatie en verbetering van het kwaliteitsmanagementsysteem.
  5. Directie of management van de organisatie dient het beleid goed te keuren.

Deliverable: beleidsdocument

Fase 3

In Fase drie wordt een risico analyse op het gebied van kwaliteitsmanagement uitgevoerd. Naar aanleiding van de in Fase drie geconstateerde risico’s worden de processen en procedures beschreven. Hierop volgend worden de procedures en processen geïmplementeerd in de organisatie en afsluitend wordt het kwaliteitsmanagement handboek opgesteld en beschikbaar gesteld aan alle werknemers van de organisatie.

Deliverable: Risicoanalyse & kwaliteitsmanagement handboek

Fase 4

Na de beschrijving van het handboek wordt er in de vierde fase een pre-audit of walkthrough uitgevoerd waarbij alle beheersmaatregelen en ISO 9001 procedures getest worden en mogelijke probleemgebieden geïdentificeerd worden voor de uiteindelijke audit.

Fase 5

In de vijfde fase worden naar aanleiding van de pre-audit verbeteringen in beheersmaatregelen en het kwaliteitsmanagementsysteem doorgevoerd en worden oplossingen gerealiseerd voor de geïdentificeerde probleemgebieden.

Fase 6

In de zesde en laatste fase wordt de ISO 9001 audit verricht door een certificerende instelling en het ISO 9001 certificaat verkregen.

ISO 27001 en ransomware

ISO 27001 en ransomware

De afgelopen tijd worden er steeds meer bedrijven getroffen door ransomware. Een andere benaming voor ransomware is ook wel gijzelsoftware. REvil is een bekende groep die hiervan gebruik maakt. Hierdoor kunnen duizenden bedrijven niet meer over hun bestanden beschikken. Maar hoe voorkomt een bedrijf een aanval van ransomware?

De zogenoemde gijzelsoftware heeft zijn naam niet zo maar gekregen. Door een aanval van ransomware kunnen de computers en zo bestanden van bedrijven “gegijzeld” worden. Alle bestanden worden tijdelijk versleuteld en zijn pas terug te krijgen als er betaald wordt. Dit wordt vaak in cryptocurrency gedaan omdat er zo niemand aan terug te leiden is. De ransomware kan in de documenten belanden door bijvoorbeeld een klik op een verkeerde link of door verouderde beveiliging. Dit is de reden dat software binnen het bedrijf altijd up-to-date moet zijn.

Ransomware voorkomen

Zeker in dit geval is het beter om te voorkomen dan om te genezen. Hoe makkelijk het is geplaatst, hoe lastig het is om te verwijderen. Daarbij is het verwijderen van de software vaak niet effectief en wordt dit niet volledig gedaan. Daarom is het voorkomen de beste oplossing.

Elk bedrijf kan de volgende zwakke punten oppakken

  1. Zoals al eerder benoemd is het van groot belang dat er gebruik wordt gemaakt van de meest recente besturings- en beveiligingssystemen.
  2. Alle programma’s zouden ook up-to-date moeten zijn. Hier kunnen dan ook geen steken vallen.
  3. Nooit vreemde links aanklikken op mails. Vaak komen er via de websites veel spam mails binnen. Bekijk eerst altijd of dit een standaard mail is met link of dat het daadwerkelijk een potentiële klant is met vragen.
  4. ISO 27001 certificeren. Voor ieder bedrijf is informatiebeveiliging van belang. De ISO 27001 standaard is een internationaal normenkader voor informatiebeveiliging. ISO 27001 kan gebruikt worden om de informatiebeveiliging in te richten.

Securance heeft ruim 10 jaar ervaring met de inrichting van risicomanagement structuren, informatiebeveiliging en procesverbetering. Informatiebeveiliging moet altijd een toegevoegde waarde hebben, de organisatie wordt beter beheersbaar en ISO 27001 biedt mogelijkheden voor nieuwe klanten.